Это то время месяца, когда Microsoft выпустила патч вторника, нацеленный на исправление уязвимостей. Патч вторника в прошлом месяце поставил перед пользователями некоторые проблемы, поскольку они все еще вызывали ошибки, будучи «недоделанными». Это восьмой патч во вторник в году, и он выпускается с восемью новыми бюллетенями по безопасности (совпадение?), Только три из которых оценены как «критические», а пять - как «важные».

Восемь бюллетеней по безопасности, выпущенных Microsoft, устраняют 23 уязвимости из Windows, Internet Explorer и Exchange. Наиболее важные исправления, согласно рекомендации Microsoft, - это MS13-059 (Internet Explorer) и MS13-060 (Windows XP и Server 2003.). После применения этих первоочередных исправлений следует установить исправления для всех остальных программ Microsoft, которые вы используете, чтобы обеспечить первоклассную защиту.

23 исправления найдены в патче во вторник

Бюллетень по безопасности MS13-059 - это важное обновление безопасности для Internet Explorer, в котором освещены 11 обнаруженных пользователями уязвимостей. Мы не знаем, широко ли они использовались или сильно использовались хакерами.

Наиболее серьезные уязвимости делают возможным удаленное выполнение кода, если пользователь просматривает специально созданную веб-страницу с помощью Internet Explorer. Злоумышленник, успешно воспользовавшийся наиболее серьезной из этих уязвимостей, может получить те же права, что и текущий пользователь.

Бюллетень по безопасности MS13-060 исправляет уязвимость, обнаруженную процессором сценариев Unicode Microsoft Exchange Server, позволяя хакерам отображать шрифты как вектор атаки. Технический директор Qualys Вольфганг Кандек объяснил:

Шрифты прорисовываются на уровне ядра, так что если вы можете каким-то образом повлиять на прорисовку шрифтов и переполнить их. Это даст злоумышленнику контроль над компьютером жертвы.

Амол Сарват, директор Лаборатории уязвимостей Qualys:

Это очень заманчивый вектор атаки. Все, что нужно сделать злоумышленнику, - это направить жертву на документ, электронную почту или вредоносную веб-страницу, чтобы воспользоваться этой уязвимостью.

Помимо вышесказанного, вот некоторые другие основные моменты и «вкусности» из патча, вышедшего в этом месяце во вторник, а также описание остальных бюллетеней по безопасности:

• MS13-061 - уязвимость библиотек Oracle «Outside In»
• MS13-062 - уязвимость, влияющая на код обработки RPC во всех версиях Windows
• MS13-063 - обход ASLR (рандомизация расположения адресного пространства) и 3 уязвимости повреждения ядра, позволяющие повысить привилегии
• MS13-064 - одиночная уязвимость отказа в обслуживании в драйвере NAT для Windows Server 2012
• MS13-065 - единая уязвимость отказа в обслуживании в стеке IPv6 во всех версиях Windows, кроме XP и Server 2003
• MS13-066 - уязвимость раскрытия информации в службах федерации Active Directory (AD FS) во всех версиях Windows Server на базе Intel, кроме Server Core.

Помимо этого, Microsoft также обновила Windows 8 и RT для улучшения функциональности защиты в Защитнике Windows.